5. Перечень работ, выполняемых Исполнителем:
5.1. Обследование виртуальной инфраструктуры
На этапе обследования информационной инфраструктуры Исполнитель собирает сведения:
Анализ топологии сети передачи данных (СПД) центрального офиса (ЦО).
Анализ активного сетевого и серверного оборудования ЦО.
Анализ схемы подключения СПД к каналам доступа в глобальную сеть Интернет, к выделенным виртуальным частным каналам передачи данных (VPN).
Анализ филиальной инфраструктуры, без выезда на место расположения филиалов. Включает в себя: анализ активного сетевого и серверного оборудования, анализ схемы подключения филиала к глобальной сети Интернет, к выделенным виртуальным частным каналам и к СПД ЦО.
Интервьюирование представителей заказчика о типе и характеристиках сетевого трафика между СПД ЦО и СПД филиалов.
Анализ схемы сетевой адресации компании.
Проведение мероприятий по сбору статистической информации о загруженности/производительности существующих физических и виртуализированных сервисов предприятия.
Проведение аудита существующей логической и физической схем реализации домена на базе служб MS Active Directory, выявление проблем в работе служб каталога, ошибок в проектировании.
Проведение работ по сбору и анализу информации системных журналов состояния служб компонентов операционной системы Windows Server, выявление неисправностей (ошибок/предупреждений/сбоев) в работе ОС.
Сбор сведений осуществляется представителями Исполнителя непосредственно на территории Заказчика.
5.2. Обследование информационных систем и технологических процессов обработки персональных данных
На этапе обследования информационных систем и технологических процессов обработки персональных данных Исполнитель собирает сведения:
об организационной структуре Заказчика;
о технологических процессах обработки персональных данных;
о территориальных площадках, схемах помещений, расположении технических средств обработки информации, мерах физической безопасности;
о структуре, техническом и программном составе информационных систем;
об архитектуре информационных систем;
о существующих средствах и механизмах обеспечения безопасности информации.
Кроме того, на данном этапе Исполнитель проводит сбор данных необходимых для аттестации информационной системы.
5.3. Стендовые испытания предполагаемых средств защиты информации
Стендовые испытания системы защиты информации проводятся для определения совместимости предполагаемых средств защиты информации с общим и специальным программным обеспечением, используемым в информационных системах Заказчика. При проведении испытаний формируются испытательные стенды с типовой конфигурацией рабочих мест или серверов, после чего проводится установка и тестирование предлагаемых решений по защите персональных данных.
Чтобы обезопасить инфраструктуру Заказчика от сбоев и инцидентов, необходимо стендовые испытания провести на территории Заказчика на оборудовании Исполнителя в тестовой зоне. На оборудовании исполнителя необходимо развернуть ключевые компоненты ИСПДн, указанные в п. 4. технического задания, в частности прикладное ПО. Для тестирования СЗИ необходимо установить на оборудование в тестовой зоне, перечень СЗИ должен включать в себя 2-3 варианта решения требований подсистем, описанных в п. 4. Методика тестирования проводится в соответствии с требованиями Заказчика, требования предоставляются Заказчикам при начале проведения стендовых испытаний.
5.4. Моделирование угроз безопасности информации
Моделирование угроз безопасности информации при их автоматизированной обработке в соответствии с требованиями ФСТЭК России и ФСБ РФ должно включать в себя:
определение исходного уровня защищенности информационных систем персональных данных;
расчет показателя защищенности информационных систем персональных данных;
разработку модели нарушителя;
построение предварительного перечня угроз безопасности информации (с учетом рассматриваемой модели нарушителя);
определение вероятности реализации угроз (для каждой угрозы из предварительного перечня);
определение возможности реализации угрозы (для каждой угрозы из предварительного перечня);
определение опасности угроз (для каждой угрозы из предварительного перечня);
определение актуальности угроз (для каждой угрозы из предварительного перечня);
определение типа актуальных угроз.
5.5. Идентификация и классификация информационных систем, установление уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных
На этапе идентификации и классификации информационных систем, установления уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных, должен быть определен перечень информационных систем, входящих в состав объекта защиты, установлены их характеристики, определен класс системы и необходимый уровень защищенности персональных данных.
5.6. Разработка концепции построения системы защиты персональных данных и выработка рекомендаций по оптимизации процессов обработки персональных данных
При разработке концепции построения системы защиты персональных данных и выработке рекомендаций по оптимизации процессов обработки персональных данных выполняются:
определение и анализ информационных потоков, мест и способов хранения персональных данных;
определение форм представления, хранения, обработки и передачи информации;
формирование и описание обобщенной схемы технологических процессов обработки информации;
определение перечня обрабатываемых персональных данных и их категорирование;
декомпозиция информационных систем и уточнение итогового перечня информационных систем, входящих в состав объекта защиты;
разработка рекомендаций по оптимизации состава технических средств и структуры информационных систем;
оценка правовых оснований обработки персональных данных субъектов;
разработка вариантов построения системы защиты информации;
согласование с заказчиком и утверждение итогового варианта концепции системы защиты информации.
5.7. Разработка технического задания на создание системы защиты персональных данных
На этапе разработки технического задания на создание системы защиты персональных данных определяются требования к системе защиты персональных данных в зависимости от класса защищенности информационной системы (либо от уровня защищенности персональных данных) и угроз безопасности информации, включенных в модель угроз безопасности информации. При определении требований к системе защиты персональных данных информационной системы учитываются положения политик обеспечения информационной безопасности Заказчика в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
|
